Dela via

Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper

  • Artikel

Som global administratör i Microsoft Entra-ID kanske du inte har åtkomst till alla prenumerationer och hanteringsgrupper i din klientorganisation. Den här artikeln beskriver hur du kan öka din åtkomst till alla prenumerationer och hanteringsgrupper.

Kommentar

Information om hur du visar eller tar bort personliga data finns i Allmänna begäranden från datasubjekt för GDPR, Azure-datasubjektbegäranden för GDPR eller Begäranden från Windows-datasubjekt för GDPR, beroende på ditt specifika område och behov. Mer information om GDPR finns i avsnittet GDPR i Microsoft Trust Center och GDPR-avsnittet i Service Trust-portalen.

Varför skulle du behöva utöka din åtkomst?

Om du är global administratör kan det finnas tillfällen då du vill utföra följande åtgärder:

  • Återfå åtkomsten till en Azure-prenumeration eller hanteringsgrupp när en användare har förlorat åtkomsten
  • tilldela en annan användare eller sig själv en Azure-prenumeration eller -hanteringsgrupp
  • Se alla Azure-prenumerationer eller hanteringsgrupper i en organisation
  • Tillåt att en automationsapp (till exempel en fakturerings- eller granskningsapp) får åtkomst till alla Azure-prenumerationer eller hanteringsgrupper

Hur fungerar utökad åtkomst?

Microsoft Entra ID- och Azure-resurser skyddas oberoende av varandra. Det innebär att Microsoft Entra-rolltilldelningar inte beviljar åtkomst till Azure-resurser och Azure-rolltilldelningar beviljar inte åtkomst till Microsoft Entra ID. Men om du är global administratör i Microsoft Entra-ID kan du tilldela dig själv åtkomst till alla Azure-prenumerationer och hanteringsgrupper i din klientorganisation. Använd funktionen om du saknar åtkomst till Azure-prenumerationsresurser, till exempel virtuella datorer eller lagringskonton, och du vill använda din globala administratörsbehörighet för att få åtkomst till dessa resurser.

När du höjer din åtkomst tilldelas du rollen Administratör för användaråtkomst i Azure i rotomfånget (/). På så sätt kan du visa alla resurser och tilldela åtkomst i valfri prenumeration eller hanteringsgrupp i klientorganisationen. Rolltilldelningar av administratör för användaråtkomst kan tas bort med Azure PowerShell, Azure CLI eller REST API.

Du bör ta bort den här upphöjda åtkomsten när du har gjort de ändringar som behövs i rotomfånget.

Upphöja åtkomst

Utföra steg i rotomfånget

Steg 1: Utöka åtkomsten för en global administratör

Följ de här stegen för att öka åtkomsten för en global administratör med hjälp av Azure Portal.

  1. Logga in på Azure Portal som global administratör.

    Om du använder Microsoft Entra Privileged Identity Management aktiverar du rolltilldelningen Global administratör.

  2. Bläddra till Microsoft Entra ID>Hantera>egenskaper.

    Välj Egenskaper för Microsoft Entra-egenskaper – skärmbild

  3. Under Åtkomsthantering för Azure-resurser anger du växlingsknappen till Ja.

    Åtkomsthantering för Azure-resurser – skärmbild

    När du anger växlingsknappen till Ja tilldelas du rollen Administratör för användaråtkomst i Azure RBAC i rotomfånget (/). Detta ger dig behörighet att tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Microsoft Entra-klientorganisationen. Den här växlingsknappen är endast tillgänglig för användare som har tilldelats rollen Global administratör i Microsoft Entra-ID.

    När du anger växlingsknappen till Nej tas rollen Administratör för användaråtkomst i Azure RBAC bort från ditt användarkonto. Du kan inte längre tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Microsoft Entra-klientorganisationen. Du kan bara visa och hantera de Azure-prenumerationer och hanteringsgrupper som du har beviljats åtkomst till.

    Kommentar

    Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

  4. Välj Spara för att spara dina inställningar.

    Den här inställningen är inte en global egenskap och gäller endast för den inloggade användaren. Du kan inte höja åtkomsten för alla medlemmar i rollen Global administratör.

  5. Logga ut och logga in igen för att uppdatera din åtkomst.

    Nu bör du ha åtkomst till alla prenumerationer och hanteringsgrupper i din klientorganisation. När du visar sidan Åtkomstkontroll (IAM) ser du att du har tilldelats rollen Administratör för användaråtkomst i rotomfånget.

    Prenumerationsrolltilldelningar med rotomfång – skärmbild

  6. Gör de ändringar du behöver göra vid förhöjd åtkomst.

    Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av Azure Portal. Om du använder Privileged Identity Management kan du läsa Identifiera Azure-resurser för att hantera eller tilldela Azure-resursroller.

  7. Utför stegen i följande avsnitt för att ta bort den förhöjda åtkomsten.

Steg 2: Ta bort förhöjd åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst i rotomfånget (/).

  1. Logga in som samma användare som användes för att höja åtkomsten.

  2. Bläddra till Microsoft Entra ID>Hantera>egenskaper.

  3. Ställ in Åtkomsthantering för Azure-resurser för att växla tillbaka till Nej. Eftersom det här är en inställning per användare måste du vara inloggad som samma användare som användes för att öka åtkomsten.

    Om du försöker ta bort rolltilldelningen Administratör för användaråtkomst på sidan Åtkomstkontroll (IAM) visas följande meddelande. Om du vill ta bort rolltilldelningen måste du ange växlingsknappen till Nej eller använda Azure PowerShell, Azure CLI eller REST-API:et.

    Ta bort rolltilldelningar med rotomfattning

  4. Logga ut som global administratör.

    Om du använder Privileged Identity Management inaktiverar du rolltilldelningen Global administratör.

    Kommentar

    Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

Visa användare med förhöjd åtkomst

Om du har användare med förhöjd åtkomst visas banderoller på ett par platser i Azure Portal. I det här avsnittet beskrivs hur du avgör om du har användare som har förhöjd åtkomst i din klientorganisation. Den här funktionen distribueras stegvis, så den kanske inte är tillgänglig ännu i din klientorganisation.

Alternativ 1

  1. I Azure Portal bläddrar du till Microsoft Entra ID Manage Properties (Hantera>egenskaper för Microsoft Entra-ID>).

  2. Under Åtkomsthantering för Azure-resurser letar du efter följande banderoll.

    You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

    Skärmbild av banderoll som anger att det finns användare med förhöjd åtkomst.

  3. Välj länken Hantera användare med förhöjd åtkomst för att visa en lista över användare med förhöjd åtkomst.

Alternativ 2

  1. I Azure Portal bläddrar du till en prenumeration.

  2. Välj Åtkomstkontroll (IAM) .

  3. Leta efter följande banderoll överst på sidan.

    Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

    Skärmbild av banderollen på sidan Åtkomstkontroll (IAM) som anger att det finns användare med förhöjd åtkomst.

  4. Välj länken Visa rolltilldelningar för att visa en lista över användare med förhöjd åtkomst.

Ta bort förhöjd åtkomst för användare

Om du har användare med förhöjd åtkomst bör du vidta omedelbara åtgärder och ta bort den åtkomsten. Om du vill ta bort dessa rolltilldelningar måste du också ha förhöjd åtkomst. I det här avsnittet beskrivs hur du tar bort förhöjd åtkomst för användare i din klientorganisation med hjälp av Azure Portal. Den här funktionen distribueras stegvis, så den kanske inte är tillgänglig ännu i din klientorganisation.

  1. Logga in på Azure Portal som global administratör.

  2. Bläddra till Microsoft Entra ID>Hantera>egenskaper.

  3. Under Åtkomsthantering för Azure-resurser ställer du in växlingsknappen på Ja enligt beskrivningen tidigare i Steg 1: Utöka åtkomsten för en global administratör.

  4. Välj länken Hantera användare med förhöjd åtkomst.

    Fönstret Användare med förhöjd åtkomst visas med en lista över användare med förhöjd åtkomst i din klientorganisation.

    Skärmbild av fönstret Användare med förhöjd åtkomst som visar användare med förhöjd åtkomst.

  5. Om du vill ta bort förhöjd åtkomst för användare lägger du till en bockmarkering bredvid användaren och väljer Ta bort.

Visa utökade åtkomstloggposter i katalogaktivitetsloggarna

När åtkomsten är förhöjd läggs en post till i loggarna. Som global administratör i Microsoft Entra-ID kanske du vill kontrollera när åtkomsten utökades och vem som gjorde det. Utökade åtkomstloggposter visas inte i standardaktivitetsloggarna, utan visas i stället i katalogaktivitetsloggarna. I det här avsnittet beskrivs olika sätt att visa poster för upphöjda åtkomstloggar.

Visa utökade åtkomstloggposter med hjälp av Azure Portal

  1. Logga in på Azure Portal som global administratör.

  2. Bläddra till Övervaka aktivitetslogg>.

  3. Ändra aktivitetslistan till Katalogaktivitet.

  4. Sök efter följande åtgärd, vilket betyder åtgärden för att höja åtkomsten.

    Assigns the caller to User Access Administrator role

    Skärmbild som visar katalogaktivitetsloggar i Monitor.

Visa utökade åtkomstloggposter med Hjälp av Azure CLI

  1. Använd kommandot az login för att logga in som global administratör.

  2. Använd kommandot az rest för att göra följande anrop där du måste filtrera efter ett datum som visas med exempeltidsstämpeln och ange ett filnamn där du vill att loggarna ska lagras.

    Anropar url ett API för att hämta loggarna i Microsoft.Insights. Utdata sparas i filen.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

  3. I utdatafilen söker elevateAccessdu efter .

    Loggen liknar följande där du kan se tidsstämpeln för när åtgärden inträffade och vem som anropade den.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
  "subscriptionId": "",
  "tenantId": "33333333-3333-3333-3333-333333333333"
},
{
  "authorization": {
    "action": "Microsoft.Authorization/elevateAccess/action",
    "scope": "/providers/Microsoft.Authorization"
  },
  "caller": "user@example.com",
  "category": {
    "localizedValue": "Administrative",
    "value": "Administrative"
  },

Delegera åtkomst till en grupp för att visa upphöjda åtkomstloggposter med hjälp av Azure CLI

Om du vill kunna hämta poster för upphöjt åtkomstlogg med jämna mellanrum kan du delegera åtkomst till en grupp och sedan använda Azure CLI.

  1. Bläddra till Microsoft Entra ID-grupper>.

  2. Skapa en ny säkerhetsgrupp och anteckna gruppobjektets ID.

  3. Använd kommandot az login för att logga in som global administratör.

  4. Använd kommandot az role assignment create för att tilldela rollen Läsare till gruppen som bara kan läsa loggar på klientorganisationsnivå, som finns på Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"

  5. Lägg till en användare som läser loggar till den tidigare skapade gruppen.

En användare i gruppen kan nu regelbundet köra kommandot az rest för att visa upphöjda åtkomstloggposter.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Nästa steg